CN114430360A - 一种互联网安全监控方法、电子设备和存储介质 - Google Patents

一种互联网安全监控方法、电子设备和存储介质 Download PDF

Info

Publication number
CN114430360A
CN114430360A CN202011099190.9A CN202011099190A CN114430360A CN 114430360 A CN114430360 A CN 114430360A CN 202011099190 A CN202011099190 A CN 202011099190A CN 114430360 A CN114430360 A CN 114430360A
Authority
CN
China
Prior art keywords
alarm
matrix
factor
determining
factors
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011099190.9A
Other languages
English (en)
Other versions
CN114430360B (zh
Inventor
王健
宋春咏
刘绪忠
鲁彪
司桂静
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Original Assignee
China Mobile Communications Group Co Ltd
China Mobile Group Shandong Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Communications Group Co Ltd, China Mobile Group Shandong Co Ltd filed Critical China Mobile Communications Group Co Ltd
Priority to CN202011099190.9A priority Critical patent/CN114430360B/zh
Publication of CN114430360A publication Critical patent/CN114430360A/zh
Application granted granted Critical
Publication of CN114430360B publication Critical patent/CN114430360B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0604Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time
    • H04L41/0609Management of faults, events, alarms or notifications using filtering, e.g. reduction of information by using priority, element types, position or time based on severity or priority

Landscapes

  • Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Evolutionary Biology (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提出了一种互联网安全监控方法、电子设备和存储介质,涉及互联网技术领域。其中,上述互联网安全监控方法包括:通过对获取到的告警信息进行聚类,得到多个告警因素。根据多个告警因素的告警分值,生成告警矩阵。然后确定告警矩阵中每个告警因素的特征向量。最后,根据特征向量进一步确定每个告警因素的告警权重,将告警权重最大的告警因素确定为告警根因。从而可以在面临网络攻击时,快速判断网络攻击对各个节点的影响程度,准确定位网络攻击的核心节点,实现高效的互联网安全监控。

Description

一种互联网安全监控方法、电子设备和存储介质
【技术领域】
本申请涉及互联网技术领域,尤其涉及一种互联网安全监控方法、电子设备和存储介质。
【背景技术】
互联网安全已经上升到国家战略,是国家安全的重要组成部分。网络攻击的爆发式增长,不但使终端用户面临直接威胁,也会影响网络侧基础设施和系统的安全。通过互联网安全监控,对网络攻击的影响进行预判、以及对网络攻击的核心节点进行有效定位是当前亟需解决的问题。
目前的互联网安全监控技术只能对链路波动情况进行监测,无法对网络攻击风险级别进行评估;也无法判断网络攻击对各个节点的影响程度。因此,难以对当前网络攻击的核心节点进行准确定位。
【发明内容】
本申请实施例提供了一种互联网安全监控方法、电子设备和存储介质,以实现对网络攻击的核心节点的准确定位。
第一方面,本申请实施例提供一种互联网安全监控方法,包括:对获取到的告警信息进行聚类,根据所述聚类结果得到多个告警因素;根据所述多个告警因素的告警分值,生成告警矩阵;根据所述告警矩阵,确定每个所述告警因素的特征向量;根据所述特征向量,确定每个所述告警因素的告警权重;将所述告警权重最大的告警因素确定为告警根因。
其中一种可能的实现方式中,根据所述多个告警因素的告警分值,生成告警矩阵,包括:根据告警分值,计算每个告警因素与各个告警因素的相对分值;根据所述相对分值,确定告警矩阵;其中,每个所述告警因素的告警分值根据所述告警因素相对于其他告警因素的重要程度确定;所述告警矩阵为阶数等于告警因素个数的正反矩阵。
其中一种可能的实现方式中,所述方法还包括:根据所述告警矩阵,确定每个所述告警因素的特征向量,包括:根据所述告警矩阵,确定每个所述告警因素的归一化特征向量;根据每个所述告警因素的归一化特征向量,确定每个所述告警因素的特征向量。
其中一种可能的实现方式中,根据所述告警矩阵,确定每个所述告警因素的归一化特征向量,包括:计算所述告警矩阵每行所包含的相对分值的乘积;对所述告警矩阵每行的所述乘积开N次方根,得到所述告警矩阵每行对应的根值;其中,N为所述告警矩阵的阶数;计算所述告警矩阵每行对应的所述根值与所有根值之和的比值;将所述告警矩阵每行对应的所述比值确定为该行所对应的告警因素的归一化特征向量。
其中一种可能的实现方式中,根据每个所述告警因素的归一化特征向量,确定每个所述告警因素的特征向量,包括:根据所述告警矩阵的各个告警因素的归一化特征向量,确定列矩阵;将所述告警矩阵与所述列矩阵相乘,得到特征向量矩阵;根据所述特征向量矩阵,确定每个所述告警因素的特征向量。
其中一种可能的实现方式中,根据所述特征向量,确定每个所述告警因素的告警权重,包括:将每个所述告警因素对应的特征向量相加,得到所述告警矩阵的最大特征值;计算每个所述告警因素所对应的特征向量与所述最大特征值的比值,确定每个所述告警因素的告警权重。
其中一种可能的实现方式中,确定每个所述告警因素的告警权重之后,所述方法还包括:根据所述告警矩阵的最大特征值,生成所述告警矩阵的一致性指标值;根据所述一致性指标值,确定所述告警矩阵是否满足一致性校验条件;如果所述告警矩阵不满足一致性校验条件,则修改每个所述告警因素的告警分值;根据修改后的所述告警分值,重新生成告警矩阵。
其中一种可能的实现方式中,根据所述告警矩阵的最大特征值,生成所述告警矩阵的一致性指标值,包括:根据所述最大特征值和告警矩阵的阶数,计算所述告警矩阵的一般一致性指标;其中,计算所述一般一致性指标的公式为CI=(Kmax-N)/(N-1);其中,Kmax为最大特征值;N为告警矩阵的阶数;CI为一般一致性指标;根据所述一般一致性指标和平均随机一致性指标,计算所述告警矩阵的一致性指标;其中,计算所述一致性指标的公式为CR=CI/RI;其中,RI为平均随机一致性指标;CR为一致性指标值。
第二方面,本申请实施例提供一种互联网安全监控装置,包括:聚类模块:用于对获取到的告警信息进行聚类,根据所述聚类结果得到多个告警因素;生成模块:用于根据所述多个告警因素的告警分值,生成告警矩阵;第一确定模块:用于根据所述告警矩阵,确定每个所述告警因素的特征向量;第二确定模块:用于根据所述特征向量,确定每个所述告警因素的告警权重;将所述告警权重最大的告警因素确定为告警根因。
第三方面,本申请实施例提供一种电子设备,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如上所述的方法。
第四方面,本申请实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如上所述的方法。
以上技术方案中,通过对获取到的告警信息进行聚类,得到多个告警因素。根据多个告警因素的告警分值,生成告警矩阵。然后确定告警矩阵中每个告警因素的特征向量。最后,根据特征向量进一步确定每个告警因素的告警权重,将告警权重最大的告警因素确定为告警根因。从而可以在面临网络攻击时,快速判断网络攻击对各个节点的影响程度,准确定位网络攻击的核心节点,实现高效的互联网安全监控。
【附图说明】
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请实施例提供的一种互联网安全监控方法的流程图;
图2为本申请实施例提供的另一种互联网安全监控方法的流程图;
图3为本申请实施例提供的另一种互联网安全监控方法的流程图;
图4为本申请实施例提供的另一种互联网安全监控方法的流程图;
图5为本申请实施例提供的一种互联网安全监控装置的结构示意图;
图6为本申请实施例提供的一种电子设备的结构示意图。
【具体实施方式】
为了更好的理解本申请的技术方案,下面结合附图对本申请实施例进行详细描述。
应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
在本申请实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
图1为本申请实施例提供的一种互联网安全监控方法的流程图。如图1所示,上述互联网安全监控方法可以包括:
步骤101,对获取到的告警信息进行聚类,根据聚类结果得到多个告警因素。
本申请实施例中,可预先将网络侧的告警分为三个主要层面的告警。可选的,三个层面分别可以是:设备层面、链路层面、业务层面。然后,利用德尔菲专家打分法,对每一个层面内所包含的告警因素进行分类和汇总。其中,可选的,各个层面内所包含的告警因素如下表1所示。
Figure BDA0002724781360000051
表1
基于上述说明,本申请实施例在获取到告警信息之后,对告警信息进行聚类。根据聚类结果,确定告警信息中所包含的告警因素。具体的,在获取告警信息时,可根据预设的时间间隔,获取各时间段内的告警话单。根据告警话单,获取其中的告警信息。其中,预设的时间间隔可以根据实际情况的需要进行确定,本申请实施例中,例如可以将预设的时间间隔确定为5分钟。
步骤102,根据多个告警因素的告警分值,生成告警矩阵。
本申请实施例中,可预先对表1中的告警因素进行专家打分,确定每一个告警因素的告警分值。告警分值的取值大小与该告警因素的告警级别相关联。告警分值越大,告警级别越高,对应的告警因素的重要程度越高。其中,对于表1中三个不同层面的告警,其告警级别排名可以为:业务层面>设备层面>链路层面。
一些实施例中,在得到告警因素之后,可根据告警因素与告警分值的关联关系,确定每一个告警因素的告警分值。然后,按照如下方法生成告警矩阵。
首先,根据告警分值,计算每个告警因素与各个告警因素的相对分值。
一些实施例中,存在N个告警因素。确定第1个告警因素与N个告警因素的相对分值,得到第一相对分值。然后,确定第2个告警因素与N个告警因素的相对分值,得到第二相对分值。以此类推,确定第N相对分值。
举例来说。存在4个告警因素分别为单板不可用、环境故障、数据入库异常、流量振幅异常。4个告警因素的告警分值分别为3、2、6、1。首先,计算单板不可用与4个告警因素的相对分值,得到第一相对分值。第一相对分值分别为:1、3/2、1/2、3。然后,计算环境故障与4个告警因素的相对分值,得到第二相对分值。第二相对分值分别为:2/3、1、1/3、2。其次,计算数据入库异常与4个告警因素的相对分值,得到第三相对分值。第三相对分值分别为:2、3、1、6。最后,计算流量振幅异常与4个告警因素的相对分值,得到第四相对分值。第四相对分值分别为:1/3、1/2、1/6、1。
然后,根据相对分值,确定告警矩阵。
根据上述说明,分别将确定好的第一相对分值、第二相对分值…第N相对分值作为矩阵的各个行,得到告警矩阵。其中,告警矩阵为阶数等于告警因素个数的正反矩阵。告警矩阵的各行各列分别与告警因素对应。
仍以上述举例为基础,作进一步举例说明。将第一相对分值1、3/2、1/2、3作为告警矩阵的第一行。将第二相对分值2/3、1、1/3、2作为告警矩阵的第二行。将第三相对分值2、3、1、6作为告警矩阵的第三行。将第四相对分值1/3、1/2、1/6、1作为告警矩阵的第四行。得到告警矩阵如下:
Figure BDA0002724781360000071
显然,该告警矩阵为阶数等于告警因素个数(即4)的正反矩阵。该告警矩阵的各行各列与告警因素的对应关系如下表2所示。
Figure BDA0002724781360000072
表2
步骤103,根据告警矩阵,确定每个告警因素的特征向量。
首先,根据告警矩阵,确定每个告警因素的归一化特征向量。
然后,根据归一化特征向量,确定每个告警因素的特征向量。
步骤104,根据特征向量,确定每个告警因素的告警权重。
首先,将每个告警因素对应的特征向量相加,得到告警矩阵的最大特征值。
然后,计算每个告警因素所对应的特征向量与最大特征值的比值,确定告警权重。
步骤105,将告警权重最大的告警因素确定为告警根因。
一些实施例中,在确定了告警根因之后,可将确定好的告警根因与预设的告警经验库进行关联。根据告警经验库,自动分析告警相关信息。将告警相关信息在全网络拓扑结构视图中进行呈现。其中,告警相关信息可以包括,告警产生原因、告警引发的后果以及告警处理建议。
另一些实施例中,在确定了告警根因之后,可根据预先设置的告警因素与管理员之间的对应关系,自动派单,由管理员对告警根因进行处理。
本申请实施例中,通过对获取到的告警信息进行聚类,得到多个告警因素。根据多个告警因素的告警分值,生成告警矩阵。然后确定告警矩阵中每个告警因素的特征向量。最后,根据特征向量进一步确定每个告警因素的告警权重,将告警权重最大的告警因素确定为告警根因。从而可以在面临网络攻击时,快速判断网络攻击对各个节点的影响程度,准确定位网络攻击的核心节点,实现高效的互联网安全监控。
本申请另一实施例中,对前述步骤103作进一步说明。
本申请实施例中,如图2所示,可按照以下步骤确定归一化特征向量。
步骤201,计算告警矩阵每行所包含的相对分值的乘积。
如表2所示,告警矩阵第一行所包含的相对分值为1、3/2、1/2、3。那么,第一行相对分值的乘积为1Х3/2Х1/2Х3=2.250。告警矩阵第二行所包含的相对分值为2/3、1、1/3、2。那么,第二行相对分值的乘积为2/3Х1Х1/3Х2=0.444。以此类推,得到告警矩阵每行的乘积分别如表3所示。
乘积
第一行 2.250
第二行 0.444
第三行 36.000
第四行 0.028
表3
步骤202,对告警矩阵每行的乘积开N次方根。
本申请实施例中,在对告警矩阵每行的乘积开N次方根时,N的取值等于告警矩阵的阶数。如表2所示,告警矩阵的阶数为4。
那么,告警矩阵第一行的乘积开4次方根为
Figure BDA0002724781360000081
以此类推,得到告警矩阵每行的根值,以及所有根值之和如表4所示。
开4次根方
第一行 1.225
第二行 0.816
第三行 2.449
第四行 0.409
根方和 4.899
表4
步骤203,计算告警矩阵每行对应的根值与所有根值之和的比值,得到归一化特征向量。
本申请实施例中,将告警矩阵每行对应的比值,确定为该行所对应的告警因素的归一化特征向量。
如表4所示,第一行对应的告警因素的归一化特征向量为:1.225/4.899=0.250。第二行对应的告警因素的归一化特征向量为:0.816/4.899=0.167。以此类推,得到各行对应的告警因素的归一化特征向量如
表5所示。
归一化特征向量
第一行(单板不可用) 0.250
第二行(环境故障) 0.167
第三行(数据入库异常) 0.500
第四行(流量振幅异常) 0.083
表5
本申请实施例中,如图3所示,得到归一化特征向量之后,确定特征向量的步骤如下。
步骤301,根据各个告警因素的归一化特征向量,确定列矩阵。
根据表5所示的归一化特征向量,确定列矩阵如下:
0.250
0.167
0.500
0.083
步骤302,将告警矩阵与列矩阵相乘,得到特征向量矩阵。
以表2中的告警矩阵与上述列矩阵为例,相乘得到特征向量矩阵的过程如下:
Figure BDA0002724781360000101
其中,矩阵
Figure BDA0002724781360000102
为得到的特征向量矩阵。
步骤303,根据特征向量矩阵,确定每个告警因素的特征向量。
本申请实施例中,在根据特征向量矩阵确定告警因素的特征向量时,告警矩阵第一行所对应的告警因素的特征向量,等于特征向量矩阵第一行的行值。告警矩阵第二行所对应的告警因素的特征向量,等于特征向量矩阵第二行的行值。…以此类推,不再赘述。
以上述特征向量为例。单板不可用对应的特征向量为1.000。环境故障对应的特征向量为0.666。数据入库异常对应的特征向量为1.999。流量振幅异常对应的特征向量为0.333。
本申请另一实施例中,对前述步骤104、步骤105中确定告警根因的过程进行举例说明。
以前述实施例中得到的特征向量1.000、0.666、1.999、0.333为例。
首先,将特征向量相加得到最大特征值:
Kmax=1.000+0.666+1.999+0.333=3.998
然后,分别计算各告警因素对应的特征向量与最大特征值的比值,得到告警权重。
如,单板不可用的告警权重为1.000/3.998=25%。环境故障的告警权重为0.666/3.998=17%。数据入库异常的告警权重为1.999/3.998=50%。流量振幅异常的告警权重为0.333/3.998=8%。
将告警权重最大的告警因素数据入库异常确定为告警根因。
本申请另一实施例中,前述步骤104之后,本申请的互联网安全监控方法还需要对得到的告警矩阵进行一致性校验。
需要说明的是,在对各告警因素进行打分时,有可能会出现逻辑性错误。举例来说,比如A比B告警分值高,B比C告警分值高,但却又出现C比A告警分值高。因此,根据告警分值生成的告警矩阵有可能会出现逻辑性错误。为了判断是否存在逻辑错误,需要对生成的告警矩阵进行一致性校验。如图4所示,具体的的校验方法可按照如下步骤执行。
步骤1041,根据告警矩阵的最大特征值,生成告警矩阵的一致性指标值。
首先,根据最大特征值和告警矩阵的阶数,计算告警矩阵的一般一致性指标。其中,计算一般一致性指标的公式为:
CI=(Kmax-N)/(N-1)
其中,Kmax为最大特征值;N为告警矩阵的阶数;CI为一般一致性指标。
然后,根据一般一致性指标和平均随机一致性指标,计算告警矩阵的一致性指标。其中,计算一致性指标的公式为:
CR=CI/RI
其中,RI为平均随机一致性指标;CR为一致性指标值。
需要说明的是,RI的取值与告警矩阵的阶数N具有关联关系。告警矩阵的阶数N确定之后,可查表确定RI的取值。RI的取值与阶数N的关联关系如表6所示。
N 1 2 3 4 5 6 7 8 9
RI 0 0 0.58 0.9 1.12 1.24 1.32 1.41 1.45
表6
步骤1042,根据一致性指标值,确定告警矩阵是否满足一致性校验条件。
本申请实施例中,如果告警矩阵不满足一致性校验条件,则修改每个告警因素的告警分值,消除告警分值中的逻辑错误。根据修改后的告警分值,重新生成告警矩阵。具体的,一致性校验条件为:CR<0.1,或CI=0且Kmax=N。
基于前述实施例中得到的告警矩阵阶数N为4,最大特征值Kmax=1.000+0.666+1.999+0.333=3.998进行举例说明。
告警矩阵的最大特征值Kmax为3.998。
告警矩阵的CI=(Kmax-N)/(N-1)=(3.998-4)/(4-1)=-0.0007。
查表得到当告警矩阵的阶数N为4时,RI为0.9。
此时,CR=CI/RI=-0.0007/0.9=-0.0008。
由于CR<0.1,因此,认为告警矩阵满足一致性校验条件。
本申请实施例中,在得到告警矩阵中各告警因素的权重之后,对告警矩阵进行一致性校验。从而可以消除各告警分值之间的逻辑错误,确保各告警因素权重的准确性,进而保证准确定位告警根因。
图5为本申请实施例提供的一种互联网安全监控装置的结构示意图。本实施例中的互联网安全监控装置可以作为互联网安全监控设备实现本申请实施例提供的互联网安全监控方法。如图5所示,上述互联网安全监控装置可以包括:聚类模块51、生成模块52、第一确定模块53和第二确定模块54。
聚类模块51,用于对获取到的告警信息进行聚类,根据聚类结果得到多个告警因素。生成模块52,用于根据多个告警因素的告警分值,生成告警矩阵。第一确定模块53,用于根据告警矩阵,确定每个告警因素的特征向量。第二确定模块54,用于根据特征向量,确定每个告警因素的告警权重,将告警权重最大的告警因素确定为告警根因。
本申请实施例中,通过聚类模块51,对获取到的告警信息进行聚类,得到多个告警因素。生成模块52根据多个告警因素的告警分值,生成告警矩阵。然后第一确定模块53确定告警矩阵中每个告警因素的特征向量。由第二确定模块54根据特征向量,进一步确定每个告警因素的告警权重,并将告警权重最大的告警因素确定为告警根因。从而可以在面临网络攻击时,快速判断网络攻击对各个节点的影响程度,准确定位网络攻击的核心节点,实现高效的互联网安全监控。
图6为本申请实施例提供的一种电子设备的结构示意图。如图6所示,上述电子设备可以包括至少一个处理器;以及与上述处理器通信连接的至少一个存储器,其中:存储器存储有可被处理器执行的程序指令,上述处理器调用上述程序指令能够执行本申请实施例提供的互联网安全监控方法。
其中,上述电子设备可以为互联网安全监控设备,本实施例对上述电子设备的具体形态不作限定。
图6示出了适于用来实现本申请实施方式的示例性电子设备的框图。图6显示的电子设备仅仅是一个示例,不应对本申请实施例的功能和使用范围带来任何限制。
如图6所示,电子设备以通用计算设备的形式表现。电子设备的组件可以包括但不限于:一个或者多个处理器410,存储器430,连接不同系统组件(包括存储器430和处理单元410)的通信总线440。
通信总线440表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(Industry StandardArchitecture;以下简称:ISA)总线,微通道体系结构(Micro Channel Architecture;以下简称:MAC)总线,增强型ISA总线、视频电子标准协会(Video Electronics StandardsAssociation;以下简称:VESA)局域总线以及外围组件互连(Peripheral ComponentInterconnection;以下简称:PCI)总线。
电子设备典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
存储器430可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(Random Access Memory;以下简称:RAM)和/或高速缓存存储器。电子设备可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。尽管图6中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如:光盘只读存储器(Compact Disc Read Only Memory;以下简称:CD-ROM)、数字多功能只读光盘(Digital Video Disc Read Only Memory;以下简称:DVD-ROM)或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与通信总线440相连。存储器430可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本申请各实施例的功能。
具有一组(至少一个)程序模块的程序/实用工具,可以存储在存储器430中,这样的程序模块包括——但不限于——操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块通常执行本申请所描述的实施例中的功能和/或方法。
电子设备也可以与一个或多个外部设备(例如键盘、指向设备、显示器等)通信,还可与一个或者多个使得用户能与该电子设备交互的设备通信,和/或与使得该电子设备能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过通信接口420进行。并且,电子设备还可以通过网络适配器(图6中未示出)与一个或者多个网络(例如局域网(Local Area Network;以下简称:LAN),广域网(Wide AreaNetwork;以下简称:WAN)和/或公共网络,例如因特网)通信,上述网络适配器可以通过通信总线440与电子设备的其它模块通信。应当明白,尽管图6中未示出,可以结合电子设备使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、磁盘阵列(Redundant Arrays of Independent Drives;以下简称:RAID)系统、磁带驱动器以及数据备份存储系统等。
处理器410通过运行存储在存储器430中的程序,从而执行各种功能应用以及数据处理,例如实现本申请实施例提供的互联网安全监控方法。
本申请实施例还提供一种非临时性计算机可读存储介质,上述非暂态计算机可读存储介质存储计算机指令,上述计算机指令使上述计算机执行本申请实施例提供的互联网安全监控方法。
上述非临时性计算机可读存储介质可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(Read Only Memory;以下简称:ROM)、可擦式可编程只读存储器(ErasableProgrammable Read Only Memory;以下简称:EPROM)或闪存、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
可以以一种或多种程序设计语言或其组合来编写用于执行本申请操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LocalArea Network;以下简称:LAN)或广域网(Wide Area Network;以下简称:WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现定制逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。类似地,取决于语境,短语“如果确定”或“如果检测(陈述的条件或事件)”可以被解释成为“当确定时”或“响应于确定”或“当检测(陈述的条件或事件)时”或“响应于检测(陈述的条件或事件)”。
需要说明的是,本申请实施例中所涉及的终端可以包括但不限于个人计算机(Personal Computer;以下简称:PC)、个人数字助理(Personal Digital Assistant;以下简称:PDA)、无线手持设备、平板电脑(Tablet Computer)、手机、MP3播放器、MP4播放器等。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。

Claims (10)

1.一种互联网安全监控方法,其特征在于,包括:
对获取到的告警信息进行聚类,根据所述聚类结果得到多个告警因素;
根据所述多个告警因素的告警分值,生成告警矩阵;
根据所述告警矩阵,确定每个所述告警因素的特征向量;
根据所述特征向量,确定每个所述告警因素的告警权重;
将所述告警权重最大的告警因素确定为告警根因。
2.根据权利要求1所述的方法,其特征在于,根据所述多个告警因素的告警分值,生成告警矩阵,包括:
根据告警分值,计算每个告警因素与各个告警因素的相对分值;
根据所述相对分值,确定告警矩阵;
其中,每个所述告警因素的告警分值根据所述告警因素相对于其他告警因素的重要程度确定;所述告警矩阵为阶数等于告警因素个数的正反矩阵。
3.根据权利要求2所述的方法,其特征在于,根据所述告警矩阵,确定每个所述告警因素的特征向量,包括:
根据所述告警矩阵,确定每个所述告警因素的归一化特征向量;
根据每个所述告警因素的归一化特征向量,确定每个所述告警因素的特征向量。
4.根据权利要求3所述的方法,其特征在于,根据所述告警矩阵,确定每个所述告警因素的归一化特征向量,包括:
计算所述告警矩阵每行所包含的相对分值的乘积;
对所述告警矩阵每行的所述乘积开N次方根,得到所述告警矩阵每行对应的根值;其中,N为所述告警矩阵的阶数;
计算所述告警矩阵每行对应的所述根值与所有根值之和的比值;
将所述告警矩阵每行对应的所述比值确定为该行所对应的告警因素的归一化特征向量。
5.根据权利要求3或4所述的方法,其特征在于,根据每个所述告警因素的归一化特征向量,确定每个所述告警因素的特征向量,包括:
根据所述告警矩阵的各个告警因素的归一化特征向量,确定列矩阵;
将所述告警矩阵与所述列矩阵相乘,得到特征向量矩阵;
根据所述特征向量矩阵,确定每个所述告警因素的特征向量。
6.根据权利要求1所述的方法,其特征在于,根据所述特征向量,确定每个所述告警因素的告警权重,包括:
将每个所述告警因素对应的特征向量相加,得到所述告警矩阵的最大特征值;
计算每个所述告警因素所对应的特征向量与所述最大特征值的比值,确定每个所述告警因素的告警权重。
7.根据权利要求6所述的方法,确定每个所述告警因素的告警权重之后,所述方法还包括:
根据所述告警矩阵的最大特征值,生成所述告警矩阵的一致性指标值;
根据所述一致性指标值,确定所述告警矩阵是否满足一致性校验条件;
如果所述告警矩阵不满足一致性校验条件,则修改每个所述告警因素的告警分值;
根据修改后的所述告警分值,重新生成告警矩阵。
8.根据权利要求7所述的方法,其特征在于,根据所述告警矩阵的最大特征值,生成所述告警矩阵的一致性指标值,包括:
根据所述最大特征值和告警矩阵的阶数,计算所述告警矩阵的一般一致性指标;其中,计算所述一般一致性指标的公式为
CI=(Kmax-N)/(N-1);
其中,Kmax为最大特征值;N为告警矩阵的阶数;CI为一般一致性指标;
根据所述一般一致性指标和平均随机一致性指标,计算所述告警矩阵的一致性指标;其中,计算所述一致性指标的公式为
CR=CI/RI;
其中,RI为平均随机一致性指标;CR为一致性指标值。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述处理器通信连接的至少一个存储器,其中:
所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如权利要求1至8任一所述的方法。
10.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至8任一所述的方法。
CN202011099190.9A 2020-10-14 2020-10-14 一种互联网安全监控方法、电子设备和存储介质 Active CN114430360B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011099190.9A CN114430360B (zh) 2020-10-14 2020-10-14 一种互联网安全监控方法、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011099190.9A CN114430360B (zh) 2020-10-14 2020-10-14 一种互联网安全监控方法、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN114430360A true CN114430360A (zh) 2022-05-03
CN114430360B CN114430360B (zh) 2024-03-12

Family

ID=81310195

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011099190.9A Active CN114430360B (zh) 2020-10-14 2020-10-14 一种互联网安全监控方法、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN114430360B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105677759A (zh) * 2015-12-30 2016-06-15 国家电网公司 一种信息通信网络中的告警关联性分析方法
CN110263172A (zh) * 2019-06-26 2019-09-20 国网江苏省电力有限公司南京供电分公司 一种电网监控告警信息事件化自主识别方法
CN110609759A (zh) * 2018-06-15 2019-12-24 华为技术有限公司 一种故障根因分析的方法及装置
CN110855497A (zh) * 2019-11-19 2020-02-28 杭州安恒信息技术股份有限公司 一种基于大数据环境的告警排序方法及装置
CN111539493A (zh) * 2020-07-08 2020-08-14 北京必示科技有限公司 一种告警预测方法、装置、电子设备及存储介质
CN111600761A (zh) * 2020-05-25 2020-08-28 上海观安信息技术股份有限公司 一种基于运维业务风险告警分析归并方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105677759A (zh) * 2015-12-30 2016-06-15 国家电网公司 一种信息通信网络中的告警关联性分析方法
CN110609759A (zh) * 2018-06-15 2019-12-24 华为技术有限公司 一种故障根因分析的方法及装置
CN110263172A (zh) * 2019-06-26 2019-09-20 国网江苏省电力有限公司南京供电分公司 一种电网监控告警信息事件化自主识别方法
CN110855497A (zh) * 2019-11-19 2020-02-28 杭州安恒信息技术股份有限公司 一种基于大数据环境的告警排序方法及装置
CN111600761A (zh) * 2020-05-25 2020-08-28 上海观安信息技术股份有限公司 一种基于运维业务风险告警分析归并方法
CN111539493A (zh) * 2020-07-08 2020-08-14 北京必示科技有限公司 一种告警预测方法、装置、电子设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
卢巍;施程辉;吴靖;杨帆;张若伊;郭抒然;: "基于根因分析的电力监控系统日志大数据处理方法", 浙江电力, no. 12 *
朱金大;陈良亮;张卫国;: "基于BP神经网络的充放电机故障诊断", 电网与清洁能源, no. 10 *

Also Published As

Publication number Publication date
CN114430360B (zh) 2024-03-12

Similar Documents

Publication Publication Date Title
US11226858B1 (en) Root cause analysis of logs generated by execution of a system
US10728284B2 (en) Methods and apparatus to assess compliance of a computing resource in a virtual computing environment
CN111444514B (zh) 信息安全风险评估方法及装置、设备、存储介质
WO2022089202A1 (zh) 故障识别模型训练方法、故障识别方法、装置及电子设备
US20190026805A1 (en) Issue resolution utilizing feature mapping
US10613525B1 (en) Automated health assessment and outage prediction system
US20130018921A1 (en) Need-to-know information access using quantified risk
CN111612038A (zh) 异常用户检测方法及装置、存储介质、电子设备
CN112951311A (zh) 一种基于变权重随机森林的硬盘故障预测方法及系统
CN112596964A (zh) 磁盘故障的预测方法及装置
CN116502166B (zh) 一种对目标设备故障预测的方法、装置、设备和介质
JP4383484B2 (ja) メッセージ解析装置、制御方法および制御プログラム
CN116227240B (zh) 基于综合应力加速试验的产品寿命评价方法、装置及设备
EP4222599A1 (en) Methods and systems for multi-resource outage detection for a system of networked computing devices and root cause identification
CN113408070B (zh) 发动机参数的确定方法、装置、设备及存储介质
US10817365B2 (en) Anomaly detection for incremental application deployments
CN114418002A (zh) 硬盘的健康度状态预测方法、装置、设备和存储介质
CN110457349B (zh) 信息流出的监控方法及监控装置
CN114430360B (zh) 一种互联网安全监控方法、电子设备和存储介质
CN115509853A (zh) 一种集群数据异常检测方法及电子设备
CN113961565A (zh) 数据检测方法、系统、计算机系统及可读存储介质
CN112364900A (zh) 用于智慧建筑的设备告警管理方法、装置、客户端及介质
CN111581044A (zh) 集群优化方法、装置、服务器及介质
CN117170914A (zh) 故障定位方法、装置、计算机系统和可读存储介质
CN114546759B (zh) 数据库访问错误监测、分析方法、装置和电子设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant